تشریح آسیب پذیری SQLi در سایت یاهو

اخیرا گزارشی منتشر شد که وبسایت Yahoo تحت تاثیر یک آسیب پذیری حساس در برنامه کاربردی وب قرار گرفته است. این آسیب پذیری به هکر دسترسی به پایگاه داده وبسایت را فراهم می کند و نتیجتا می تواند به یکی از سرورهای یاهو نیز دسترسی یابد. این آسیب پذیری اکنون رفع شده است اما به تشریح این مسئله امنیتی کمتر پرداخته شده است.

یک کارشناس امنیت سایبری و تست کننده نفوذ با نام Ebrahim Hegazy با نام مستعار Zigoo از مصر، آسیب پذیری جدی SQL Injection را در وبسایت یاهو کشف کرده است که به نفوذگر اجازه می دهد تا هر دستوری را بروی سرور با امتیاز ریشه، اجرا نماید.

اما چطور این مسئله امنیتی بوجود آمده است و چگونه نفوذگر می تواند دسترسی به وبسایت یاهو بدست آورد را در این مقاله آموزشی تشریح خواهیم کرد.

به گفته ی هکر، این داستان با جستجو در دامنه زیر شروع می شود:

http://innovationjockeys.yahoo.net

در هنگام رهگیری درخواست های POST، این هکر متوجه درخواست زیر می شود که امکان تزریق SQL در آن احساس می شد:

http://innovationjockeys.yahoo.net/tictac_chk_req.php

:POST

f_id=9631

هکر شروع به بررسی برخی دستورات دستی می کند و برای سرعت بخشیدن در کار خود، از ابزار اتوماتیک SQLMap استفاده می کند.

http://innovationjockeys.yahoo.net/tictac_chk_req.php

:POST

#(f_id=9631' OR (2777=2777

نام پایگاه های داده ای که هکر بدست می آورد به شرح زیر است:

information_schema

*******innovation

****web

 

-برای حفظ حریم خصوصی وبسایت یاهو، نام پایگاه داده پنهان شده است-

خوب مسلما هکر با بدست آوردن نام پایگاه های داده براحتی می تواند داده های داخل آن را نیز مشاهده نماید. آنچه که هکرها پس از استخراج اطلاعات از پایگاه های داده به دنبال آن می گردنند، پنل مدیریتی وبسایت می باشد. طبق شکل زیر، هکر توانسته اطلاعاتی نظیر نام کاربری و کلمه عبور را از ستون پایگاه داده innovation بدست آورد:

هک سایت یاهو

هکر پس از استخراج اطلاعات دو کار می کند:

1-یافتن پنل مدیریتی وبسایت - http://innovationjockeys.yahoo.net/admin

2-رمزگشایی کلمه عبور ذخیره شده که به گفته ی هکر به صورت Base64 در پایگاه داده ذخیره شده بود.

 نتیجتا او وارد پنل مدیریتی وبسایت می شود...

 

هکرها پس از ورود به پنل مدیریت وبسایت معمولا به دنبال محلی برای آپلود فایل های مخرب خود می گردند تا بتوانند کدهای خود را از راه دور اجرا کنند و دسترسی خود را افزایش دهند.هکر یک صفحه را در پنل برای آپلود فایل پیدا می کند اما پس از آپلود فایل با تابع "()phpinfo" به عنوان محتوا، او متوجه می شود که نام فایل آپلود شده به صورت زیر است:

page_d03b042780c5071521366edc01e52d3d.xrds+xml

به جای اینکه در اصل فایل به صورت زیر باشد:

page_d03b042780c5071521366edc01e52d3d.php

هکر پس از بررسی و رهگیری درخواست آپلود، مشکل را پیدا می کند:

 هک سایت یاهو

با توجه به هدر Content-Type، دلیل به وضوح روشن است!

هکر دوباره درخواست را تکرار می کند با این تفاوت که این بار نام هدر "Content-Type" را به "application/php" تغییر می دهد و نتیجتا صفحه زیر را می بیند:

هک سایت یاهو

 

آنچه که به نظر می رسد این است که هکر توانسته با بهره برداری از آسیب پذیری SQL Injection به سایت نفوذ نموده و حمله را با بهره برداری از آسیب پذیری RCE ادامه دهد. به گفته ی هکر، آخرین بروزرسانی هسته سرور در سال 2012 انجام شده است.

 

*تاریخ گزارش آسیب پذیری تا رفع آن به گفته ی هکر:

گزارش اولیه به یاهو 05-09-2014

تایید آسیب پذیری توسط یاهو 06-09-2014

رفع آسیب پذیری توسط یاهو 07-09-2014

 

همچنین سایت یاهو به هکر اعلام می کند که مستحق پاداش به دلیل کشف آسیب پذیری نیست. طبق صحبت های هکر، او از یاهو به دلیل در نظر نگرفتن پاداش انتقاد می کند و می گوید که اگر آسیب پذیری SQLi به RCE با امتیاز ریشه، یک باگ بحرانی و حساس نیست، پس این آسیب پذیری چه می تواند باشد؟

علی اصغر جعفری لاری

علی اصغر جعفری لاری هستم. از سال 82 وارد دنیای "نفوذگری در وب" شدم و به صورت فردی، فعالیتم رو در این حوزه شروع کردم. پس از شش سال، دیدگاه اصلی من نسبت به این علم، به سمت و سوی "هک اخلاقی" تغییر پیدا کرد و سعی کردم شش سال دوم تجربیات زندگیم رو به صورت قانونمند و سودمند پیش ببرم. تخصص اصلی من "تست نفوذ برنامه های کاربردی وب" و تحقیق در حوزه "امنیت سایبری" هست و از روی علاقه، به مباحثی همچون تست نفوذ حوزه هایی مثل شبکه های بیسم، برنامه های کاربردی موبایل، کلاینت ها،سیستم های صنعتی و امواج رادیویی نیز پرداختم. تاکنون شش کتاب در حوزه هک و امنیت تالیف و ترجمه کردم و تیم پارسینگ رو برای رسیدن به اهداف بلندش یاری کردم.

وبگاه: www.parsing.ir پست الکترونیکی این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: